6月18日,美国网络安全和基础设施安全局(CISA)在其官网上发布了一篇名为《现代网络访问安全方法》的文件,该文件敦促各种规模的企业采用更有效的安全解决方案,以进一步增强企业网络安全能力。

一、简介

该文件由CISA、美国联邦调查局(FBI)、新西兰政府通信安全局(GCSB)、新西兰计算机应急响应小组(CERT-NZ)和加拿大网络安全中心(CCCS)共同编写,概述了与 VPN 和远程访问错误配置相关的漏洞和风险,旨在帮助企业过渡到更安全的解决方案。

二、远程访问和VPN的局限性‍‍‍‍

企业远程访问VPN通过创建一个私人和加密的隧道,使用户能够访问公司或业务网络资源。这种方式为员工提供了访问服务器、公司应用程序和外部数据的便捷途径。然而,VPN的设计和实现存在固有的漏洞和限制,可能使组织面临安全风险。VPN的主要局限性包括:

1.设计漏洞

IP地址和域名系统(DNS)欺骗:VPN可能受到这些网络层次的攻击,使攻击者能够重定向或拦截网络流量。

复杂性和配置错误:VPN的设置和维护需要高水平的技术知识,复杂的配置容易出错,导致安全漏洞。

2.第三方访问风险

许多组织允许第三方供应商通过VPN访问其网络。然而,如果第三方设备已被攻破或其网络卫生差,则可能引入额外的风险。缺乏严格的网络分段零信任原则的执行,进一步增加了这种风险。

3.软件漏洞

大多数VPN解决方案基于软件,这意味着它们容易受到软件漏洞的攻击。攻击者可以利用这些漏洞来破坏业务操作。因此,建议企业考虑硬件强制的解决方案以增强安全性。

关键基础设施实体特别易受VPN漏洞的影响,特别是那些依赖身份管理和Active Directory的系统。尽管VPN在某些情况下提供了便利,但其设计和实现中的漏洞使其容易受到攻击。随着越来越多的组织采用云服务和零信任原则,依赖传统VPN的风险也在增加。

为此,组织应考虑采用现代网络访问安全解决方案,如SSE和SASE,以替代传统VPN,从而提高整体安全性。

三、解决方案

1.零信任(Zero trust)

零信任(Zero Trust,ZT)是一种网络安全模型,其核心理念是不再默认信任任何内外部网络,所有访问请求都需要经过严格的身份验证和授权。零信任的目标是通过强制执行最小权限原则,确保数据和服务在任何情况下都能得到保护。零信任的实现需要一个综合的框架,涵盖以下五个关键支柱:

身份验证(Identity):确保所有用户和设备的身份是已知的,并通过强认证机制(如多因素认证)进行验证。

设备安全(Device Security):持续监控和评估设备的安全状态,确保只有符合安全标准的设备才能访问网络资源。

应用和工作负载(Application and Workload):确保应用程序和工作负载的安全,通过安全开发生命周期和持续监控来保护应用程序免受攻击。

网络安全(Network Security):通过分段和加密来保护网络流量,确保数据在传输过程中不被窃取或篡改。

数据安全(Data Security):保护数据在整个生命周期内的安全,包括数据的创建、存储、传输和销毁。

要实现零信任路径包括:首先,组织需要评估其当前的安全状况,识别潜在的威胁和漏洞,基于评估结果,制定零信任策略,包括身份管理。其次选择适合的技术和工具,如多因素认证(MFA)、安全访问服务边缘(SASE)等,逐步实施零信任策略,从最关键的领域开始,逐步扩展到整个组织。持续监控安全状况,及时调整和改进零信任策略,确保其始终有效。

2.安全服务边缘(Secure Service Edge,SSE)

安全服务边缘(SSE)是一种综合性的云安全架构,整合了多种安全功能,旨在提供安全的互联网浏览、更安全的软件即服务(SaaS)应用访问和用户验证。SSE通过一个单一的平台将网络、安全实践和政策结合在一起,使组织能够确保无论用户设备或位置如何,都能实现应用安全和数据访问。

3.安全访问服务边缘(Secure Access Service Edge, SASE)

安全访问服务边缘(SASE)是一种云架构,将网络和安全功能结合起来,通过一个综合的云服务平台为组织提供统一的管理和安全保障。SASE结合了软件定义广域网(SD-WAN)、云安全Web网关(SWG)、云访问安全代理(CASB)、下一代防火墙(NGFW)和零信任网络访问(ZTNA)等技术,以实现更高效、更安全的网络访问。

4.最佳实践

文件建议组织在实施ZT、SSE、SASE和硬件强制解决方案时,评估自身安全状况并执行风险分析。此外,还提出了一系列最佳实践,如:

  • 实施集中管理解决方案

  • 实施网络分段,默认拒绝所有连接,除非明确允许。

  • 实施安全编排、自动化和响应(SOAR)

  • 维护并定期更新IT和OT网络的网络安全事件响应计划。

  • 自动化并验证公共资产的漏洞扫描。

四、相关背景

今年以来,美国国家安全局(NSA)和网络安全和基础设施安全局(CISA)发布多份文件关注零信任建设:NSA发布了《拥抱零信任安全模型》、《在用户支柱中推进零信任成熟度》和《在设备支柱中推进零信任成熟度》等,帮助组织在不同领域实施零信任策略。CISA除这份文件外,还发布了《零信任成熟度模型版本2.0》,该文件涵盖了身份、设备、网络、应用和工作负载、数据五个支柱,并结合了跨部门的能力,以逐步实现零信任目标。

可见,零信任已经成为美国2024年网络安全战略的重要组成部分。

来源|CISA官网

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。